محققان امنیت سایبری جزئیات دو خانواده بدافزار اندرویدی جدید FvncBot و SeedSnatcher را فاش کردهاند، زیرا نسخه ارتقا یافته دیگری از ClayRat در فضای مجازی مشاهده شده است.
بر اساس یافتههای Intel 471، CYFIRMA و Zimperium بدافزار FvncBot که خود را به عنوان برنامه امنیتی توسعه یافته توسط mBank جا میزند، کاربران بانکداری موبایل در لهستان را هدف قرار میدهد. این بدافزار کاملاً از ابتدا نوشته شده است و از سایر تروجانهای بانکی اندرویدی مانند ERMAC که کد منبع آنها فاش شده است، الهام نگرفته است. Intel 471 گفت: این بدافزار «ویژگیهای متعددی از جمله کیلاگر را با سوءاستفاده از سرویسهای دسترسی اندروید، حملات تزریق وب، استریم صفحه نمایش و پردازش شبکه مجازی پنهان (HVNC) برای انجام کلاهبرداری مالی موفق پیادهسازی کرده است. این بدافزار مشابه بدافزار بانکی Albiriox که اخیراً کشف شده است، توسط یک سرویس رمزنگاری ارائه شده توسط Golden Crypt معروف به apk0day محافظت میشود.
این برنامه مخرب با نصب پیلود داده FvncBot جاسازی شده به عنوان یک لودر عمل میکند. به محض راهاندازی برنامه dropper، از کاربران خواسته میشود که یک مولفه Google Play را برای اطمینان از امنیت و پایداری برنامه نصب کنند، در حالی که در واقعیت، این امر منجر به استقرار بدافزار با استفاده از رویکرد مبتنی بر نشست میشود که توسط سایر عوامل تهدید جهت دور زدن محدودیتهای دسترسی در دستگاههای اندرویدی که نسخههای ۱۳ و جدیدتر را اجرا میکنند، اتخاذ شده است. تمرکز اصلی FvncBot بر سرقت دادهها است، SeedSnatcher (مستقر در چین یا چینی زبان) – که با نام Coin از طریق تلگرام توزیع میشود – برای فعال کردن سرقت عبارات بازیابی کیف پول رمز ارز طراحی شده است. همچنین از قابلیت رهگیری پیامکهای دریافتی برای سرقت کدهای احراز هویت دو مرحلهای (2FA) جهت تصاحب حساب کاربری و همچنین ضبط دادههای دستگاه، مخاطبین، لاگهای تماس، فایلها و دادههای حساس با نمایش پوششهای فیشینگ پشتیبانی میکند.
https://thehackernews.com/2025/12/android-malware-fvncbot-seedsnatcher.html
